histats

Okta dit que le piratage par le groupe LAPSUS$ a peut-être capturé 366 jetons

Okta dit que le piratage par le groupe LAPSUS$ a peut-être capturé 366 jetons

Okta dit que le piratage du gang LAPSUS $ peut avoir affecté 2,5% des clients professionnels, soit 366.

Dans un rapport plus détaillé(Ouvre dans une nouvelle fenêtre) publié mardi, Okta a déclaré que le piratage impliquait LAPSUS $ compromettant à distance un ordinateur appartenant à un technicien de support client externalisé auprès d’une société d’externalisation tierce appelée Sitel.

L’accès a été obtenu via le protocole de bureau à distance de Microsoft ; l’ordinateur lui-même appartenait à Sitel. “Le scénario ici est analogue à celui de s’éloigner de votre ordinateur dans un café, où un étranger s’est (presque dans ce cas) assis devant votre machine et utilise une souris et un clavier”, a déclaré David Bradbury, responsable de la sécurité d’Okta.

Pas si super utilisateur

On ne sait pas comment le groupe LAPSUS $ a obtenu un accès à distance. Mais malgré le piratage, Okta a déclaré que l’ordinateur du technicien du support client ne contenait qu’un accès limité aux comptes clients.

“La majorité des tâches d’ingénierie de support sont effectuées à l’aide d’une application construite en interne appelée SuperUser ou SU en abrégé, qui est utilisée pour effectuer des fonctions d’administration de base pour les locataires d’Okta. Cela ne fournit pas un “accès divin” à tous les utilisateurs”, a déclaré Bradbury.

Image LAPSUS

Un article de LAPSUS$ affirmant que le groupe avait un accès “superutilisateur” aux systèmes d’Okta. Cependant, Okta dit que l’accès SuperUser est en fait assez limité.

“Il s’agit d’une application conçue avec le moindre privilège à l’esprit pour garantir que les ingénieurs de support ne reçoivent que l’accès spécifique dont ils ont besoin pour remplir leur rôle”, a-t-il ajouté. “Ils ne peuvent pas créer ou supprimer des utilisateurs. Ils ne peuvent pas télécharger les bases de données clients. Ils ne peuvent pas accéder à nos référentiels de code source.”

See also  Cazoo se concentre sur la rentabilité alors que les actions augmentent

C’est également la raison pour laquelle Okta pense que le piratage n’a pas réussi à violer l’entreprise elle-même ou les comptes clients. Néanmoins, le gang LAPSUS$ avait une fenêtre de cinq jours, entre le 16 et le 21 janvier, pour accéder à l’ordinateur compromis. Pendant ce temps, les pirates ont également eu accès aux systèmes de Sitel, qui offre des services à plus de 700 marques dans le monde.

“En tentant de cartographier le rayon d’explosion de cet incident, notre équipe a supposé le pire scénario et a examiné tous les accès effectués par tous les employés de Sitel à l’application SuperUser pendant la période de cinq jours en question”, a déclaré Bradbury. En conséquence, au cours des dernières 24 heures, l’entreprise a examiné plus de 125 000 entrées de journal pour déterminer quelles actions ont été effectuées sur l’ordinateur compromis.

“Nous avons déterminé que l’impact potentiel maximum est de 366 (environ 2,5 % des) clients dont le locataire Okta a été ouvert par Sitel”, a déclaré Bradbury.

“En raison de l’accès dont disposaient les ingénieurs de support, les informations et les actions étaient limitées. Bien que ce ne soit pas une étape nécessaire pour les clients, nous nous attendons à ce qu’ils veuillent compléter leur propre analyse”, a-t-il ajouté. “Pour plus de transparence, ces les clients recevront un rapport montrant les actions effectuées sur leur locataire Okta par Sitel pendant cette période. Nous pensons que c’est la meilleure façon de laisser les clients évaluer eux-mêmes la situation.”

“On aurait dû aller plus vite”

Image Octa

(Tiffany Hagler-Geard/Bloomberg via Getty Images)

Okta a appris le piratage pour la première fois le 20 janvier, lorsque l’équipe de sécurité de l’entreprise a découvert une tentative d’ajout d’une nouvelle connexion d’authentification multifacteur sur le compte Okta de l’ingénieur du support client. En réponse, la société a réinitialisé le compte Okta un jour plus tard et a demandé à Sitel d’engager une “société de criminalistique de premier plan” pour mener une enquête.

See also  10 applications populaires dangereuses pour Android et iPhone

Le problème est que l’enquête médico-légale de Sitel n’a été menée que le 28 février. Le rapport médico-légal qui en a résulté sur l’incident n’a également été envoyé à Okta que le 17 mars, quelques jours seulement avant que LAPSUS$ n’annonce qu’il aurait violé Okta.

De plus, Okta a déclaré n’avoir reçu le “rapport d’enquête complet” sur le piratage que mardi. Par conséquent, la société n’a jamais informé les clients de la violation potentielle.

Recommandé par nos rédacteurs

“Je suis très déçu par le temps qui s’est écoulé entre notre notification à Sitel et la publication du rapport d’enquête complet”, a déclaré Bradbury. “A la réflexion, dès que nous avons reçu le rapport de synthèse de Sitel, nous aurions dû aller plus vite pour comprendre les implications.”

Dans un communiqué, Sitel a déclaré à PCMag : « Après avoir terminé l’enquête initiale, en collaboration avec le leader mondial de la cybersécurité, nous continuons d’enquêter et d’évaluer les risques de sécurité potentiels pour notre infrastructure et pour les marques que nous soutenons dans le monde entier. Le résultat de l’enquête, ainsi que notre évaluation continue des menaces externes, nous sommes convaincus qu’il n’y a plus de risque pour la sécurité.”

Okta a publié plus de détails sur la violation après avoir proposé une évaluation vague et déroutante de l’incident quelques heures plus tôt mardi. On ne sait pas quels clients d’Okta ont été touchés, mais la société dessert de grandes marques telles que Grubhub, Jetblue, T-Mobile, Sonos et Peloton, fournissant des systèmes d’authentification et de gestion des connexions.

Le gang LAPSUS$ n’a jusqu’à présent pas commenté la dernière déclaration d’Okta. Mais mardi, le groupe a réfuté l’affirmation d’Okta selon laquelle le piratage de janvier avait eu un impact limité. “Je ne suis TOUJOURS pas sûr en quoi c’est une tentative ratée ?” a écrit le groupe dans un chat public. “La connexion au portail superutilisateur avec la possibilité de réinitialiser le mot de passe et l’authentification MFA pour environ 95 % des clients échoue ?”

See also  Slope rejette les preuves que toute couche de sécurité a été compromise par DailyCoin

Franchir une ligne rouge

Microsoft, qui a également été récemment piraté par LAPSUS$, a publié un rapport(Ouvre dans une nouvelle fenêtre) sur les activités du gang en ligne. Le rapport conclut que LAPSUS$ s’introduit probablement dans les organisations en faisant circuler le logiciel malveillant voleur de mots de passe Redline, en achetant des identifiants volés à d’autres cybercriminels et en payant les employés des organisations ciblées pour accéder aux systèmes de l’entreprise.

“Dans une autre activité observée, les acteurs de DEV-0537 (LAPSUS$) ont effectué un échange de carte SIM(Ouvre dans une nouvelle fenêtre) attaque pour accéder au numéro de téléphone d’un utilisateur avant de se connecter au réseau de l’entreprise. Cette méthode permet aux acteurs de gérer les invites d’authentification par téléphone dont ils ont besoin pour accéder à une cible”, a déclaré Microsoft.

SecurityWatch<\/strong> newsletter for our top privacy and security stories delivered right to your inbox.","first_published_at":"2021-09-30T21:22:09.000000Z","published_at":"2022-03-24T14:57:33.000000Z","last_published_at":"2022-03-24T14:57:28.000000Z","created_at":null,"updated_at":"2022-03-24T14:57:33.000000Z"})" x-show="showEmailSignUp()" class="rounded bg-gray-lightest text-center md:px-32 md:py-8 p-4 mt-8 container-xs">

Aimez-vous ce que vous lisez?

S’inscrire SecurityWatch newsletter pour nos meilleures histoires de confidentialité et de sécurité livrées directement dans votre boîte de réception.

Cette newsletter peut contenir des publicités, des offres ou des liens d’affiliation. L’inscription à une newsletter indique votre consentement à nos conditions d’utilisation et à notre politique de confidentialité. Vous pouvez vous désabonner des newsletters à tout moment.

You may also like...

Leave a Reply

Your email address will not be published.